Internet-Protokoll IPv6 kommt endlich in Bewegung

Redaktion
16. Mai 2008, 14:08
  • Artikelbild

Langsam, aber unausweichlich wird es eng im Internet - Umstellungsprozess nimmt langsam Gestalt an

Langsam, aber unausweichlich wird es eng im Internet. Das für den Datenverkehr im Netz grundlegende Internet-Protokoll ermöglicht 3,7 Milliarden Adressen - bei einer Weltbevölkerung von 6,7 Milliarden sind das deutlich zu wenig. In dieser Woche wollen rund 200 Teilnehmer einer Fachkonferenz in Potsdam die Lösung für das Problem vorantreiben: IPv6 hat mit 340 Sextillionen Adressen praktisch unendlich viel Platz.

"Man hat sich damals hingesetzt und gefragt: Wie machen wir es richtig?"

Dieses Internet-Protokoll in der Version 6 sei schon fast zehn Jahre alt, erklärt Konferenzleiter Christoph Meinel. "Man hat sich damals hingesetzt und gefragt: Wie machen wir es richtig?" Denn bereits Mitte der 90er Jahre erkannte man die Mängel der Version 4 des Internet-Protokolls - vor allem die begrenzte Verfügbarkeit von Adressen, in der Fachsprache als Adressraum bezeichnet.

Asien

Danach sei IPv6 aber nicht richtig in die Gänge gekommen, erklärt Meinel, der das Hasso-Plattner-Institut (HPI) an der Universität Potsdam leitet. Vor allem in den USA hielt sich die Begeisterung in Grenzen - die dort eingerichteten Netze verfügen ja auch über etwa 74 Prozent aller derzeit vergebenen IP-Adressen. Für China und andere asiatischen Ländern sei der Druck der Adressenknappheit aber sehr viel stärker, erklärt Meinel. Daher werde IPv6 dort sehr viel massiver vorangetrieben.

Netzanbindung für Geräte aller Art

"Inzwischen kommt auch in den USA und bei uns Bewegung hinein», sagt Meinel. Als treibende Kräfte nennt er den Trend zum "Internet der Dinge", also der Netzanbindung von elektronischen Geräten aller Art vom Stromzähler bis zum Kühlschrank. Interessant ist das neue Protokoll auch für mobile Anwendungen. Für Handys und andere mobile Geräte gebe es bislang keine feste IP-Adresse, erklärt der Informatiker. Das erschwert die Entwicklung von Web-Anwendungen, die ein Gerät gezielt ansprechen müssen. "Das wird alles mit IPv6 möglich", sagt Meinel.

"Die meisten Provider beschäftigen sich noch nicht genug mit IPv6"

Der Umstellungsprozess wird schrittweise vor sich gehen und betrifft alle Netzanbieter und -nutzer, auch den Endanwender. "Die meisten Provider beschäftigen sich noch nicht genug mit IPv6", sagt Frank Orlowski vom Internet-Austauschknoten DE-CIX in Frankfurt am Main. "Je früher man damit anfängt, umso besser." Es dürfe keine Torschlusspanik aufkommen, aber "irgendwann gibt es nichts mehr, was noch an Adressräumen verteilt werden kann". Immerhin nutzen nach Angaben Orlowskis bereits 70 bis 80 Provider der 240 am DE-CIX angeschlossenen Netze das neue Internet-Protokoll.

Der Netz-Experte erwartet, dass es eine Übergangszeit geben wird, in der beide Protokolle parallel verwendet werden können. "Irgendwann wird man dann aber das alte Netz abschalten", erklärt Orlowski. "Das wird ein Prozess sein, der mehrere Jahre in Anspruch nimmt." Die Schätzungen für den Zeitpunkt, zu dem es keine freien IP-Adressen mehr geben wird, reichen je nach Szenario von 2010 bis 2012.

Abschied von dynamischen Adressen

Auch der Potsdamer Informatik-Professor Meinel sieht keinen Grund für Panik: "Es ist nicht so, dass plötzlich alles schwarz wird für die, die nicht umgestellt haben." Schließlich gibt es auch die als "Tunneling" bezeichneten Möglichkeiten, Daten des einen Protokolls so zu transportieren, dass sie von einem anderen Protokoll verstanden werden. Allerdings könnte es dabei zu gewissen Leistungseinbußen kommen.

Die Umstellung ist auf Seiten der Provider mit Investitionen in neue Hardware verbunden - die neuen Router müssen dann schließlich mit IPv6 umgehen können. Meinel erwartet aber, dass dies im Rahmen der ohnehin üblichen Erneuerung von Geräten ablaufen kann. Auch der DSL-Router für das drahtlose WLAN-Netz daheim muss dann IPv6 verstehen können, aber Meinel sieht in der Bereitstellung der entsprechenden Geräte kein großes Hindernis: «IPv6 soll nicht teuer werden.»

"Mein Internet funktioniert doch."

Für gewichtiger hält der HPI-Direktor die Sorgen nach dem Motto "Never touch a running system". Mancher werde sagen: "Mein Internet funktioniert doch." Solche Bedenken müssten mit einer breiten Aufklärung über die Vorteile überwunden werden, meint Meinel.

Bei IPv6 werden keine dynamischen IP-Adressen mehr zugewiesen, wie es bei der Einwahl ins Netz mit einem Modem oder auch bei den meisten DSL-Verbindungen der Fall ist. Feste IP-Adressen haben den Vorteil, dass man einen eigenen Web-Server betreiben kann, der auch ohne Anmeldung einer Domain, also einer Internet-Adresse nach dem Muster meineDomain.at, immer unter der gleichen Ziffern-Adresse erreichbar ist. Andererseits erhöht eine dynamische, also sich immer wieder ändernde IP-Adresse auch den Schutz der Privatsphäre. Der Informatiker Meinel aber sieht in den dynamischen Adressen nur einen Notbehelf der IPv4-Ära: "Eigentlich sollten Datenschutz und Sicherheit auf anderen Methoden beruhen."(APA/AP)

Share if you care
Posting 1 bis 25 von 151
1 2 3 4
Der Wappler hat kein Glück im Leben

Das Lamm grüßt den Wappler

Wie rechnet sich das?

Die Gebäudeinfrastruktur ist (mit wenigen Ausnahmen) auch in 10 Jahren noch nicht so weit um alle Geräte zu vernetzen. Die Aufteilungsprobleme der IP Adressen können mit NAT/PAT "Krücken" fast beliebig umgangen werden. Irgendwie klingt der Artikel so, als wollte die IANA ihre Hausaufgaben - das Aufräumen der IP Adressbereiche - nicht machen und damit sie's leichter hat einfach ein neues Protokoll einführen. IPv6 ist tot. Wenn nicht ein Wunder passiert, rechnet sich das nie. Und was sich nicht rechnet wird in der IT normalerweise (Apple ausgenommen) nicht gemacht.

das Aufteilungsproblem

ist nicht das einzige Problem das IPv6 löst. Man denke etwa an Multicasting, Multihoming oder dem Routing mobiler Geräte.

Außerdem: NAT und PAT sind wirklich kein Ersatz zu IP-Adressen wenn man Ports doppelt belegen muss.

"ist nicht das einzige Problem das IPv6 löst."

Vorausgesetzt der Kunde ist in der Not das problem zu kennen und es in weiterer Folge zu haben.

ad Multicast) wie interessant ist Ip TV aus heutiger Sicht, reell eingeschätzt?

ad multihoming) Wer leistet sich heutzutage Redundanz hinsichtlich seiner Anbindung? Ausfälle sind eh so selten, Wartungsarbeiten vorwiegend nachts.

"NAT und PAT sind wirklich kein Ersatz zu IP-Adressen wenn man Ports doppelt belegen muss."

Das wird die Masse an Heimanwendern inwiefern in Verzweiflung bringen? Die scheitern doch vielfach bereits an 2 icq clients hinter PAT und werden sich hüten, 2 idente server zu administrieren geschweige denn darauf aufgrund miesen uploadperf. remote zugreifen zu wollen

NAT Probleme

Hi,
ich hab hier noch ein konkretes NAT Problem Beispiel.
Das Spiel Company of Heroes ist hier sehr empfindlich. Unterstuetzt der Router nicht alle NAT Funktionalitaeten, kann man sich online nicht mit anderen Spielern verbinden, die das gleiche Problem haben. Bei Age of Empires 3 war das uebrigens auch so.

Darum freu ich mich auch schon auf Starcraft2, bei Blizzard gibts solche Probleme nicht! ;)

Gruesse
auti

In Zeiten der Globalisierung wird sich so mancher Heimanwender fragen,...

warum er von Italien aus nicht via Mobile sein VPN verwenden kann.

Aber es gibt ja nicht nur Heimanwender.

"warum er von Italien aus nicht via Mobile sein VPN verwenden kann."

warum nicht?

Weil IPSEC auf NAT sehr allergisch reagiert?

"Weil IPSEC auf NAT sehr allergisch reagiert?"

offensichtlich nur in Italien, die restliche Welt die IPSEC benötigt, besitzt NAT-Traversal fähige Router.

Wenn Du am Endgerät eine andere IP hast, als für den anderen Endpunkt sichtbar, muss IPSEC abbrechen, oder es wäre IPUNSEC.

Und verwechsle NAT nicht mit dem volksmündischen NAT (=Masquerading)

"Wenn Du am Endgerät eine andere IP hast, als für den anderen Endpunkt sichtbar, muss IPSEC abbrechen, oder es wäre IPUNSEC."

Um nicht dem Abbruch durch falsche Prüfsummen zu erliegen wurde wie bereits erwähnt, NAT TRAVERSAL erfunden um IPsec weiterhin zu gewährleisten. Ein Vorsprung durch Technik der dich übrigens auch in der gesamten Ipv6 Übergangszeit begleiten wird um Ipv6 über Ipv4 zu tunneln. Teredo/Miredo baut auf NAT-T

"Und verwechsle NAT nicht mit dem volksmündischen NAT"

keine Sorge, das "volksmündische" NAT ist längst überholt. Jeder heute verfügbare 0815 Router macht zumindest PAT und jeder vernünftige SO/HO Router kann NAT-T

@ Deinem verschwundenen Post: ESP verwendet Daten des AH als unverschlüsseltes UDP Paket ausgegliedert.

Nach dem Passieren des NAT-T Gerätes werden die Daten auf dem restlichen Transportweg ohne dem UDP Paket weiterversendet.

NAT-T geht davon aus, dass der Router bekannt und vertrauenswürdig ist. (Im Gegensatz zu Deiner Meinung muss ja nicht jeder Router dazwischen NAT-T fähig sein)

Im Falle der mobilen Verbindung müsste aber jedem NAT-T Router vertraut werden. - Dadurch kann mittels Man-in-the-Middle jeder Absender Vorgetäuscht werden.
Die Integrität ist nicht mehr gegeben. - Aber gerade die Integrität unterscheidet IPSEC von anderen Tunnel.

Dein "Paradoxon" ist nicht gegeben:
NAT-T ist hier eine inakzeptable Krücke.
Und im Allgemeinen argumentierst Du mit einem Workaround gegen die korrekte Lösung.

Das Kapitel IPSEC ESP IKE solltest du nocheinmal genauer studieren. Hierfür reichen mir 750 Zeichen nicht um dir deine Sorgen zu nehmen, sie sind jedoch unberechtigt.

"Im Gegensatz zu Deiner Meinung muss ja nicht jeder Router dazwischen NAT-T fähig sein)"

Die Router dazwischen sind irrelevant und müssen NAT-T nicht beherrschen und packen auch keine UDP Pakete aus.

MITM benötigt eine Vertrauensstellung die hier in keiner Weise gegeben ist, auch auf mobilen Weg nicht. DNS cachepoisoning ist kein Thema, Wer sich sein DNS oder hostsfile verbiegen lässt ist selbst schuld.

"Die Integrität ist nicht mehr gegeben."

Die Datensicherheit ist auch ohne AH gegeben.

"inakzeptable Krücke."

ohne diese "Krücke" kein IPv6

Du solltest vielleicht nochmals durchlesen:

"Im Gegensatz zu Deiner Meinung muss ja nicht jeder Router dazwischen NAT-T fähig sein"

ist (bis auf "Im Gegensatz zu Dir) die selbe Aussage, wie:

"Die Router dazwischen sind irrelevant und müssen NAT-T nicht beherrschen und packen auch keine UDP Pakete aus."

ok?

"Im Gegensatz zu Deiner Meinung muss ja nicht jeder Router dazwischen NAT-T fähig sein"

Das habe ich auch nirgendwo geschrieben und war nie meine Meinung deshalb habe ich es zuletzt relativiert und liest sich gleich wie der eine Absatz.

Das hat nichts mit mangelnder Lesekompetenz zu tun, dient nur der guten Ordnung.

Deine konstruierten Sicherheitsbedenken waren das problem, was sie nicht tun bräuchten wenn du dir die Situation von IPSEC ESP und IKE inzwischen genauer angesehen hast.

MITM ist auch mit ESP kein Problem, genausowenig wie NAT-T keine Krücke ist und genau das wollte ich dir zu verstehen geben. Dem wurde nicht mehr widersprochen, was mich annehmen lässt dass wir uns darauf verständigen können.

Nochmals, langsam zum mitdenken.

Wenn der NAT-T Router zum eigenen Equip gehört, gibt es keine Sicherheitsbedenken.

Mein Argument betraf aber mobile Geräte im Ausland, wo der Router, welcher NAT betreibt, nicht in meinem Einflussbereich liegt.

Oder ganz einfach zum Mitdenken:
Wenn Du in bestimmten italienischen Netzen bist, erhälst Du (aus Adressmangel) eine (pseudo) globale IP, welche aber am anderen Endpunkt nicht vorkommt.

Das NAT liegt NICHT in Deinem Bereich.
Wenn aber Dein IPSEC zulässt, dass ein vertrauensunwürdiges Gerät NAT dazwischen durchführt, hast Du definitiv ein MiM Risiko.

Wenn auch die Wahrscheinlichkeit einer Intrusion sehr gering ist, reicht dies für einen DDoS Angriff vollkommen.

"Mein Argument betraf aber mobile Geräte im Ausland, wo der Router, welcher NAT betreibt, nicht in meinem Einflussbereich liegt."

1.) Ein VPN betreibt man NUR zwischen vertrauenswürdigen Endpunkten auch im Ausland. Das ist der SINN eines VPNs.

2.) Das erfolgt, entweder über eine LAN-LAN Kopplung, wobei jedes vertrauenswürdig sein muss, bzw. um dein Mobilbeispiel mit abzudecken, via Host-LAN VPN.
Das erfordert keinen (fremden) NAT router auf clientseite, dein OS beherrscht NAT-T, spätestens nach Patch, der Zielrouter zu dem du dich verbinden willst sowieso.

Was dazwischen liegt ist uninteressant, da IKE über verschiedenste Authentifiizierungsmethoden verfügt und ESP die Daten verschlüsselt, auch in Italien.

Das heißt: Ein mobiles Gerät eines Mitarbeiters ist kein vertrauenswürdiger Zugangspunkt????

Uje...

"Das heißt: Ein mobiles Gerät eines Mitarbeiters ist kein vertrauenswürdiger Zugangspunkt????"

Wenn das inzwischen deine einzige übriggebliebene Sorge ist, dann bin überaus zufrieden.:-)

Ob dein Notebook vertrauenswürdig ist musst du selbst wissen. Ich hab damit keinerlei Probleme.

Schau...

Ich hab von Anfanng an von den Problemen geschrieben, dass der temporäre Wechsel ins Ausland ein Problem darstellt.

Dass Du daraus 'was Falsches herausliest und daraus Deine Fehlschlüsse ziehst, ist Dein Problem.

Jene Tunnel, die wir im medium Sicherheitsbereich benötigen machen wir heute mit T-Mobile, welche eine halbwegs akzeptable Lösung am Markt haben.

Jene Punkte, die in der höheren Sicherheitsstufe leben, eben jene, wo ein Abhören des Mobiles droht, werden eben bis IPV6 ohne Verbindung auskommen müssen. - Was die Arbeit nicht unbedingt erleichtert, aber nicht unmöglich macht.

PS: natürlich heißt der erste Satz: Ich schreibe von dem AH (s/nicht//)

Ich schreibe nicht von dem AH.

Mit NAT-T muss ich ESP verwenden.
Wenn der NAT-T Router nicht meiner ist, gebe ich die Sicherheit ausser Hand und vertraue einem unbekannten Router.
Ergo mache ich mich für einen Man-in-the-Middle angreifbar.

Naja, für den Heimanwender nicht so das Problem, wenn Du Dich aber z.B. mit der Firma anlegst, solltest Du gegen Derartiges gewappnet sein.

"Mit NAT-T muss ich ESP verwenden."

Du widersprichst dir selbst, wer Angst vor MITM hat "darf" ESP verwenden. AH ist nicht der Weisheit letzter Schluss.

"Wenn der NAT-T Router nicht meiner ist,.... einem unbekannten Router."

Wohin soll das führen? Wer zu nicht vertrauenswürdigen Netzwerken ein vpn aufbaut, hat den Sinn eines VPN nicht verstanden und sollte sich selbst hinterfragen.

Das paradoxe ist, dass du mir Sicherheit erklären möchtest und ich dir die Punkte liefere an die du bisher als Beführworter von Ipv6 nicht gedacht hast und wohlweislich ignorierst. Wer teredo inhaltlich verstanden hat und weiß, wie es um seine Netzwerkstruktur bestellt ist wird sich hüten Ipv6 früher heraufzubeschwören als spätestens notwendig.

siehe oben...

Posting 1 bis 25 von 151
1 2 3 4

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.